专项检查进紧急状态 严防银行信息系统崩溃

中国银监会副主席郭利根表示，自现在始至今年七月份，银监会将采取“先自查、后进场，边检查、边整改”的方式，开展奥运专项检查。就其所言，“从现在开始就已经进入了一级紧急状态”。

 　　中国银监会副主席郭利根表示，自现在始至今年七月份，银监会将采取“先自查、后进场，边检查、边整改”的方式，开展奥运专项检查。就其所言，“从现在开始就已经进入了一级紧急状态”。

　　中国银监会副主席郭利根今日在银行业信息科技风险奥运专项自查工作部署会上称，北京奥运会期间，各大银行信息系统有可能由于刷卡量和股票交易量大幅增长造成系统的超负荷运转，必须提前进行压力测试，防止届时出现系统崩溃现象。

　　郭利根表示，自现在始至今年七月份，银监会将采取“先自查、后进场，边检查、边整改”的方式，开展奥运专项检查。就其所言，“从现在开始就已经进入了一级紧急状态”。

　　中国银行监管当局促各大银行加强数据中心的运行管理和安全保障，命其采取一切必要措施保证数据运行中心的安全，“绝对不允许出现任何问题”。

　　各大银行同时被责成制订完善业务连续性计划，并确保在突发情况下系统可及时切换或恢复，在最短时间内实现正常运转。

　　以下是银监会副主席郭利根的讲话

　　同志们：

　　在年终岁尾的时候，专门召集大家来开会，主要是研究银行业信息科技风险管理问题，重点就如何确保2008年奥运会期间信息系统安全、深入开展IT风险专项检查工作进行部署。春节前，大家工作都很忙，但这件事又非常重要，并且时间已经非常紧了，必须早安排、早行动。下面我先讲几点意见：

　　一、深刻认识当前信息科技风险管控工作的严峻形势

　　在这里，首先要向大家通报一下去年以来银行业金融机构发生的几起信息科技风险事件。2007年3月21日，交通银行因主机监控软件存在缺陷，导致业务交易阻塞，系统瘫痪近四个小时，所有营业网点无法正常开展业务。 8月15日，工商银行对计算机系统进行升级，但由于没有避开业务高峰期，导致个人业务系统运行不畅，业务办理速度缓慢，部分代理证券业务受阻，在持续五个半小时之后，系统才逐步恢复正常。10月18日，正值十七大召开期间，建设银行股民保证金第三方存管系统出现故障，与券商的交易无法正常进行。事故持续了两个小时，在证券交易收盘后才恢复正常。12月21日，招商银行因运行中心核心网络设备出现故障，造成业务无法正常进行，虽然启动了应急预案，但仍然中断营业近一个小时。今年1月7日，元旦刚过，北京银行就因主干专线的入户接入设备发生故障，造成在京的117家支行所属网点柜台交易缓慢，业务无法正常进行，故障持续一个多小时之后才得以解决。

　　发生事故的这些机构，应该说，IT技术和风险管控上都属于国内比较先进的银行，但还是出了问题，有的还是在关键的时刻发生事故。这充分暴露出我国银行业信息系统的脆弱性。对此，应该引起我们的高度关注和认真反思。
 
　　大家都知道，中华民族的百年梦想——奥运会即将在北京隆重举办。这是北京的骄傲，也是全体中华儿女的自豪。把2008年奥运会办成一届有特色、高水平的奥运会，是中央提出的筹办工作目标。办好奥运会，这不仅仅是光荣和骄傲的事情，更是对北京市、对全中国的管理服务、组织协同、科技文化等各个方面一次全面的考验和检验。作为服务行业中的银行业，首当其冲将会接受严峻考验。银行业服务的好坏，特别是信息系统是否安全、稳定、可靠，更是至关社会稳定、金融安全和国际声誉。据初步估算，奥运会期间，北京将吸引80万人次的外国游客，接纳90万人次的国内游客，全年将吸引超过460万人次的海外游客。一方面，这些游客的到来，将对我们的银行业务，尤其是信用卡业务提出高强度、大规模、综合性的金融需求。另一方面，在奥运会举办的关键时刻，我们也必须做好各种应对准备。因此，今年是我国奥运之年，也是银行业信息科技风险管控的关键之年。各行必须从维护整个银行业安全高效、稳健运行的大局出发，全力保证信息系统的安全可靠和稳定运行。[NextPage]

　　二、把信息科技风险纳入银行总体风险管理框架，全面加强信息科技风险管控工作

　　（一）认真分析，准确把握银行业信息科技建设存在的问题。

　　分析去年以来发生一系列重大事故的原因，发现目前信息科技方面主要存在以下几个方面的问题：

　　一是基础建设滞后于业务高速增长。2007年12月末，银行业金融机构总资产从2002年末的23.7万亿元增加到52.6万亿元，按照市值计算，工行、建行、中行跻身全球银行前三甲，按照2006年底全球银行一级资本排名，工行、中行也进入了前十名，我国银行业取得了长足的进步。然而在基础建设上，按照国际惯例，核心业务系统主机容量使用率如果超过60%，就需要扩大系统容量，国内很多银行都已超过了这个指标。例如，5家大型银行核心业务系统主机容量平均使用率为67％，个别银行核心业务系统主机容量峰值使用率甚至达到了90％。在这种负载饱和的情况下，哪怕是再增加很少的业务量，也可能成为压跨骆驼的最后一根稻草。

　　二是软硬件及核心技术受制于人。目前，各银行大多数高端软硬件设备都是进口的，同时软件开发大多是外包给第三方。大量外包往往造成项目管理服务不到位，产权转移不彻底，核心技术受制于人，而且存在严重的安全隐患。

　　三是科技治理和系统管理粗放。2007年，银监会对境内主要商业银行的信息科技风险状况进行了评估。从评估结果来看，尽管有61%的银行已经制定了信息科技管理政策和战略规划，对信息科技治理框架也有一定的认识，但仍有占总数48%的银行在规划部门、技术风险管理部门和审计部门三者之间的职责分工、管理流程等方面存在严重问题。有的管理政策和战略规划重点不明确，措施不管用。特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面，存在明显的“短板”。

　　四是队伍建设很不适应。随着信息科技的快速发展，特别是银行信息化程度的不断提高，各行科技队伍建设面临严峻考验。特别是尖端人才的短缺，已经成为制约银行信息科技建设和风险管控能力提高的重要瓶颈。我们的银行业务系统常常出现问题，问题解决过程长，这在一定程度上也反映出了人才储备工作的薄弱。

　　（二）把信息科技风险纳入银行总体风险监管框架，着力加强银行业信息科技风险监管体系建设。

　　在今年银监会工作会议和经济金融形势通报会上，刘明康主席、蒋定之副主席都反复强调，要把信息科技风险纳入银行总体风险监管框架，切实加强制度建设和风险监控，确保银行业信息系统安全稳定，确保奥运支付安全。各监管部、各银监局要统一思想，集成人力资源，抓好落实工作。

　　一是基础建设滞后于业务高速增长。2007年12月末，银行业金融机构总资产从2002年末的23.7万亿元增加到52.6万亿元，按照市值计算，工行、建行、中行跻身全球银行前三甲，按照2006年底全球银行一级资本排名，工行、中行也进入了前十名，我国银行业取得了长足的进步。然而在基础建设上，按照国际惯例，核心业务系统主机容量使用率如果超过60%，就需要扩大系统容量，国内很多银行都已超过了这个指标。例如，5家大型银行核心业务系统主机容量平均使用率为67％，个别银行核心业务系统主机容量峰值使用率甚至达到了90％。在这种负载饱和的情况下，哪怕是再增加很少的业务量，也可能成为压跨骆驼的最后一根稻草。

　　二是软硬件及核心技术受制于人。目前，各银行大多数高端软硬件设备都是进口的，同时软件开发大多是外包给第三方。大量外包往往造成项目管理服务不到位，产权转移不彻底，核心技术受制于人，而且存在严重的安全隐患。

　　三是科技治理和系统管理粗放。2007年，银监会对境内主要商业银行的信息科技风险状况进行了评估。从评估结果来看，尽管有61%的银行已经制定了信息科技管理政策和战略规划，对信息科技治理框架也有一定的认识，但仍有占总数48%的银行在规划部门、技术风险管理部门和审计部门三者之间的职责分工、管理流程等方面存在严重问题。有的管理政策和战略规划重点不明确，措施不管用。特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面，存在明显的“短板”。

　　四是队伍建设很不适应。随着信息科技的快速发展，特别是银行信息化程度的不断提高，各行科技队伍建设面临严峻考验。特别是尖端人才的短缺，已经成为制约银行信息科技建设和风险管控能力提高的重要瓶颈。我们的银行业务系统常常出现问题，问题解决过程长，这在一定程度上也反映出了人才储备工作的薄弱。[NextPage]

　　（二）把信息科技风险纳入银行总体风险监管框架，着力加强银行业信息科技风险监管体系建设。

　　在今年银监会工作会议和经济金融形势通报会上，刘明康主席、蒋定之副主席都反复强调，要把信息科技风险纳入银行总体风险监管框架，切实加强制度建设和风险监控，确保银行业信息系统安全稳定，确保奥运支付安全。各监管部、各银监局要统一思想，集成人力资源，抓好落实工作。

　　第三，实施日常监管，认真开展信息科技现场检查和非现场监管工作。今后各级机构监管部门都要把信息科技风险纳入银行总体风险框架，在对各银行开展现场检查和非现场监管时，都必须关注其信息科技风险，监管报告要对信息科技建设及风险管控情况进行评价，并按照有关制度标准提出监管要求。本次自查后，银监会将重点对中国银行、北京银行进行现场检查，同时也将视各银行自查整改情况，抽查其他有关商业银行。

　　（三）以三大机制建设为重点，切实提高银行业信息科技风险管控能力。

　　一是建立信息科技风险管理保障机制。各行董事会和高管层要不断提高全面风险管理意识，把信息科技风险管控工作摆上议事日程，建立健全信息科技风险管理机构和岗位责任制度，层层抓好落实。要吸纳国内外高层次专家充实信息科技队伍，加强培训工作，提高风险管控能力和应变能力。要强化信息科技合规建设，把信息科技合规管理纳入到全行合规管理框架之中，充分发挥技术部门安全检查、风险部门风险监控、IT审计部门审计监督“三道防线”的约束作用，形成完备的违规监测和纠错体系。加大违规行为处罚力度，提高管控措施的约束力。

　　二是建立信息科技风险评估和预警机制。要全面落实风险评估制度，建立信息科技风险监测体系，及时识别风险因素，排查隐患，彻查各类问题的根源。要将信息科技风险控制前移，从业务部门需求管理开始，把风险管控贯穿于信息流动的整个过程，加强追踪控制。要在充分分析信息科技风险对银行业务影响的基础上，建立良好的风险分类分级制度，实施重点监控。从法律法规、国家政策、业务经营和客户利益等多角度区分各类信息科技风险，落实监测和保障措施。要完善风险报告机制，加强信息科技部门与业务管理部门、银行高管层以及监管机构之间的沟通协调，建立清晰的内外部报告路线，努力把信息科技风险识别体系改造成“体内循环”通畅、外部报告及时、“整体触觉”灵敏的有机体。

　　三是建立并完善信息科技风险应急处置机制。当前，突发事件频繁，加强风险应急和处置机制建设已成为当务之急。各行都要按照《突发事件应对法》的要求，加强风险应急和处置机制建设。要认真研究制定本单位信息科技风险应急管理的中长期规划，结合本行实际，稳步提高应急管理水平。要加强信息备份、灾难恢复以及业务连续性的管理，彻底改变灾备中心成为摆设的局面。要定期进行各类应急预案的培训和演练，把应急和灾备工作从技术管理层面提升到全方位、多部门齐抓共管、协调一致的全行工作层面，确保极端事件发生时，能够在最短的时间内按照既定方案有序处置。[NextPage]

　　三、全力以赴做好信息科技风险奥运专项自查工作

　　从现在开始到今年七月份，银监会将采取“先自查、后进场，边检查、边整改”的方式，开展奥运专项检查工作。这次会议结束后，各主要商业银行和各级监管机构要分头行动，迅速展开自查。具体安排一会儿请林丽同志讲，我在这里先讲一下总体的思路和要求。

　　（一）自查工作的总体思路。

　　距离奥运会开幕已进入倒计时阶段。形势严峻、时间紧迫、任务重大，我们要从国家大局出发，争分夺秒，扎实开展自查工作，尽早消除风险隐患，确保信息系统安全。这次自查的总体思路是：风险为本，防范在先，明确责任，迅速落实。

　　风险为本，就是要从防范风险的角度考虑问题，提前发现风险、分析风险、及时化解风险。同时，也要准备好万一风险爆发的应对措施。防范在先，就是要将风险消灭在萌芽状态，早发现，早消除。绝不能把问题带到奥运会上，把风险扩散到业界之外。明确责任，就是各单位一把手要负总责，实行严格的问责制度，出了问题，严肃追究。要明确每一系统、每一业务种类、每个工作岗位的责任，认真自查。迅速落实，就是要立即开展这项工作，边查边改。从现在开始，各银行要集中力量大干三个月，把工作做深、做细、做扎实。要全面排查风险隐患，彻底分析隐患成因，落实整改完善措施，提高信息系统健康水平。

　　（二）自查工作的重点。

　　这次自查工作，实行全面检查，重点防控。重点关注以下六个方面：

　　一是加强数据中心的运行管理和安全保障，完善突发事件的应急处理机制。各行必须采取一切必要措施保证数据运行中心的安全，绝对不允许出现任何问题。要做好应急准备工作，及时处置突发事故。要提前联系好外包服务商，奥运会期间，随时待命，出现问题，立刻解决。

　　二是制订完善有效的业务连续性计划。目前各行基本上都制订了业务连续性计划。为确保计划切实可行，必须加强演练，找出问题，不断完善，确保在突发情况下系统能够及时切换或恢复，在最短时间内实现正常运转。

　　三是做好业务系统压力测试工作，准备应对业务量突增的极端情况。奥运会期间，各行信息系统有可能由于刷卡量和股票交易量大幅增长造成系统的超负荷运转。因此，必须提前进行压力测试，增加必要设备，扩大系统处理容量，防止届时出现系统崩溃现象。同时，也要加强对金融业务产品投产的管理，防止业务集中上线，尽量减轻对系统的冲击。

　　四是要密切关注电子银行业务的安全。近年来电子银行业务发展迅速，但网络安全案件频发，严重威胁银行和客户的资金安全，也给银行带来了很大的声誉风险。我们要高度关注电子银行安全管理工作，加强身份认证和客户端安全漏洞的排查，严格审慎选择进口安全认证产品，防范可能产生的信息泄露风险。要加强与电信部门、网络运营商的沟通合作，确保信息系统、网络系统安全运转，确保电子银行业务渠道畅通无阻。

　　五是要加强银证系统跨行业应急机制的建设，应对股票市场波动引发的银行业务风险。资本市场对实时性要求非常高，银证第三方存管业务和基金代理发行业务的急剧膨胀，将对银行业务流量产生很大的冲击，可能导致系统的瘫痪。去年多数事故都是由于这个原因造成的。应对这个问题，首先必须做好合理安排，建议各行在奥运会期间最好不要承接基金、债券等代理发行业务，同时要有充分的应对预案。

　　六是要继续落实好信息安全等级保护制度，加快整改完善信息系统，尽快达到保护要求。要按照等级保护规定要求，认真开展对照检查工作，彻底清查不符合要求的软硬件设备、安全管控措施和管理制度，做好评估验收工作，提高安全等级保护水平。[NextPage]

　　（三）自查工作的要求。

　　会议结束后，各行参会人员要尽快向董事会详细汇报这次会议的要求，建立领导机构，制定具体实施方案，立即展开有关自查工作。

　　一不要怕揭丑。去年开展的审计评价工作，由于是第一次开展，经验不足，某些银行重视程度不够，审计结果准确性低，很多重大风险没有揭示出来。这次的自查工作，一定要在原有基础上提高一个层次，把工作做得更扎实，更深入。不要怕暴露问题，早暴露比晚暴露好。要尽早发现问题，尽早解决问题，做到未雨绸缪，防范未然。

　　二不要走过场。要高度重视这次自查工作，不能应付了事。要以风险防范为中心，以系统安全为目标，把自查工作作为近期信息科技工作的重点，力争在三个月的时间内，将各个系统、各种业务认真梳理一遍，查深、查细、查透，边查边改，力求彻底。

　　三不要留死角。信息科技的特点决定了风险无轻重，漏洞无大小。以往的经验告诉我们，大问题往往都是由小问题、小漏洞引起的。如果我们工作不细致，检查不全面，留有死角，很可能就会导致重大事故。

　　各监管部门和各银监局要认真做好督促指导工作，及时掌握自查进度和隐患情况，发现重大问题，及时报告。在这里，我也明确一项奖励措施，凡在奥运会期间信息系统保持健康稳定运行、自助银行提供顺畅服务的主要商业银行，以及在维护信息系统健康稳定运行中做出突出贡献的先进个人，银监会将进行通报表彰，对先进个人还将要求有关商业银行给予物质奖励。对于辖内银行业金融机构信息系统保持健康稳定运行的银监局，银监会也将给予表彰。

　　同志们，我们从现在开始就已经进入了一级紧急状态。我们要以党的十七大精神为指导，以高度的政治责任感和社会责任感，本着高度负责的精神，统一思想，提高认识，尽快行动起来，认真抓好各项自查落实工作，确保奥运会期间银行业信息系统安全稳定，确保为国内外金融消费者提供方便快捷的金融服务，为把北京奥运会办成一届有特色、高水平的奥运会作出我们应有的贡献。

　　最后，值此新春佳节即将来临之际，我代表银监会党委，对大家为银行业信息科技风险管控工作付出的辛劳表示感谢，并向大家拜个早年！祝大家在新的一年里，身体健康，工作顺利，合家欢乐，万事如意！

　　谢谢大家。